- ベストアンサー
VPNで拠点間を接続したい
- VPNルータも安価になってきていますので、インターネット上で拠点間をVPNで接続したいと考えております。
- 質問文章では、中心拠点のLANとそれに接続したい2つのLAN、およびその他のLAN内のVPN端末(WindowsXP、Linux)との接続方法についての情報を求めています。
- また、質問者はIPSecを使用する予定ですが、PPTPとのメリットデメリットについて理解が不足していると述べています。
- sakyo-t
- お礼率45% (11/24)
- ハードウェア・サーバー
- 回答数9
- ありがとう数9
- みんなの回答 (9)
- 専門家の回答
質問者が選んだベストアンサー
こんにちは IPsec は、IP レイヤ以上のVPN をサポートするプロトコルです。 PPTP は、L2 レベルでのVPN をサポートするプロトコルです。 両者共に、最大128bit の暗号化のオプションを保有しており、 暗号強度としてはセキュリティレベルは共通です。 IPsec はESP(DES/3DES/AES)、PPTP はMPPE やMS-CHAP が暗号化のオプションです。 IP 通信で利用する場合、特に両者の機能の違いは考えなくても大丈夫です。 IPsec はサポートするVPN 機器が多いのが特徴です。 ただし、Windows OS でVPN する際には、PPTP の方が親和性は高いです。 VPN では、VPN の接続を待つ側を「VPN サーバ」と言い、 接続の要求を出す側を「VPN クライアント」と呼びます。 「VPN サーバ」を設置する側は、グローバルIP アドレスが必要になる為、 必然的に中心拠点がその役割を担います。 一方、「VPN クライアント」は動的/固定グローバルIP どちらでもOK です。 特定のNW の通信をまとめてVPN する際の機器が、「VPN ゲートウェイ」です。 「VPN クライアントソフト」は、 PC やサーバなどにVPN 用のアプリケーションをインストールし、 VPN 通信を行うために使用するソフトウェアです。 Windows XP などは、VPN クライアントソフトの機能を標準でサポートしています。 よって、PC の台数が多い拠点は「VPN ゲートウェイ」を使い、 少ないところは「VPN クライアントソフト」を利用します。 ただし、「VPN クライアントソフト」は上手くインストールできないPC が出る可能性もあります。 NAT ルータを介しIPsec で通信を行う際、 Port 変換を行わないようにするための機能を「VPN パススルー」と呼ぶ場合があります。 NAT ルータを介してIPsec 通信を行う際には、 この機能をサポートした機種を選択することが推奨されます。 サポートを書いていなくても対応しているものがありますが、 サポートを謳っているほうが安心です。 IPsec やPPTP を含め、VPN 通信は基本となるプロトコルの仕様は各メーカ共通の「はず」です。 しかし、実際には接続できない場合があり、 メーカのサポートも動作検証をしている範囲のみになります。 できれば、メーカを統一することをお勧めします。 お勧めの機種については、他の方が推薦している機種で同意です。 最後に参考になる/勉強になるページをいくつか紹介しておきますね。 頑張ってください。 http://www.atmarkit.co.jp/fsecurity/special/38vpn/vpn01_org.html http://www.atmarkit.co.jp/fwin2k/verification/vpn01/vpn01_01.html http://www.atmarkit.co.jp/fwin2k/verification/vpn03/vpn03_05.html http://www.microsoft.com/japan/technet/community/columns/cableguy/cg0801.mspx http://www.keyman.or.jp/search/network2/30001277_1.html
その他の回答 (8)
- kuma-ku
- ベストアンサー率54% (1558/2845)
/*------ 中心拠点をAとし、VPNサーバ機能を持つルータを設置し、 拠点B、拠点CをVPNクライアント機能を持つルータで中心拠点Aに接続 という形になりますよね。 その場合は、拠点B-拠点C間もVPNを介したLAN内のような 振る舞いをするのでしょうか? (わかりにくいですがA-B間、A-C間と独立した状況にはならないですか? という意味です。) ------*/ 上記の構成は”ハブ&スポーク”と言う構成です。 この機能が提供されるかは、各VPN 装置に依存してきます。 構成を組む前に、カタログやデータシートなどで確認してくださいね。
追加の質問ですが、DICEとはなんでしょうか? 検索してもDDNSのDiCEしか見つかりませんがそのことで よかったですか?>>> いいですよ。 とりあえず、中心拠点A、拠点Bは固定IPで、 拠点Cとその他の拠点の特定端末は動的IPになると思います。 また、中心拠点はDNS,DHCPサーバが立っていますので、 問題ないかとおもいます。>>> やってみるとわかりますが、拠点Cおよびその他の拠点が動的IPという動的というのがグローバル動的IPですと、問題点が出てくると想像します。 がんばってみてください。
- neumann
- ベストアンサー率39% (900/2303)
>WinXPのVPNクライアント機能、またはLinuxのVPNクライアントソフトを >使用して、LANごと接続するのではなく端末単体で接続するという目的です。 各拠点のLANを接続するのではなく、あくまでも端末ごとに接続するんですよね? ↓ 中心拠点のLAN---(VPN)---リモート拠点内の特定端末 ということは使用する機器が変わってきますよ。 中心拠点にはVPNサーバ機能のルータを設置し、他の拠点(リモート拠点)はVPNパススルー機能だけ搭載していればよいです。VPNクライアント機能は必要ありません。 パススルー機能なら安いブロードバンドルータにも搭載されています。 さてこの場合はリモート拠点の特定の端末にVPNクライアントソフトが必要になります。このソフトは中心拠点のルータから提供されている専用ソフトを使うのが良いのですが、提供されてない場合は自分で調達する必要があります。 Windows端末でしたら標準でPPTPクライアント機能を持っているので、中心拠点にもPPTPサーバ機能のルータを設置するのが良いでしょう。 リモート拠点側のルータはPPTP(VPN)パススルー機能をONにしてください。 中心拠点のお勧めルータはヤマハのRT57iです。実売価格3.5万円程度みたいです。 (中心拠点LAN)---[VPNサーバルータ]---(Internet)---[BBルータ]---[VPNクライアントソフトPC] ルータなどを購入するお金がなければNo6さんが紹介しているSoftEtherをインストールするのもOKですね。 なお説明するのを忘れていましたが、基本的に中心拠点のWAN側アドレスは固定されたグローバルIPアドレスが必要になります。通常のプロバイダ契約では接続するごとにIPアドレスが変わるのでダメです。固定IPの契約に変更する必要があります。 固定ににしないとリモート拠点から中心拠点を探すことが出来ず、VPNが構築できません。 固定IPアドレスが用意できない場合はダイナミックDNSサービスを利用することで代用できる場合もありますが、VPNクライアントソフトの機能によってはダイナミックDNSではNGの場合もあります。
お礼
お返事ありがとうございます。 接続するのはLAN-LAN,LAN-端末どちらもです。 中心拠点Aに対して、拠点B,拠点C、その他の拠点にある特定端末を 接続したいと考えています。 とりあえず、中心拠点A、拠点Bは固定IPで、 拠点Cとその他の拠点の特定端末は動的IPになると思います。 また、中心拠点はDNS,DHCPサーバが立っていますので、 問題ないかとおもいます。
- qaaq
- ベストアンサー率36% (146/404)
#3 のqaaqです。 資金がなまり無いなら、 softether って手もあるでしょう。 取りあえずココ↓を詠んでみてください。 http://internet.watch.impress.co.jp/static/column/sether/2004/02/02/ 参考URLはソフトイーサのオフィシャルページです。
- 参考URL:
- http://www.softether.com/jp/
お礼
お返事ありがとうございます。 質問には書いておりませんでしたが、 現在は中心拠点のDHCPサーバを持っているサーバに Softether1.0の仮想HUBが立ててあり、 それにたいして、インターネット上の端末単位で接続しています。 使っている感想ですが、拠点-端末間で接続するなら便利ですが、 拠点-拠点間でつなぐには、 拠点B、Cに仮想HUBを立てたり、その仮想HUBを ネットワークブリッジにしたりとすっきりしない構成になると思います。 (私のスキル不足もあるのですが・・・) それならVPNを勉強した方がいいかなとおもって今回の ネットワーク構成を考えている次第です。
その場合は、拠点B-拠点C間もVPNを介したLAN内のような 振る舞いをするのでしょうか? (わかりにくいですがA-B間、A-C間と独立した状況にはならないですか? という意味です。) >>>固定IPを拠点数-1まで、にすれば、OKだと想像します。つまり、DICEなどは、1箇所のみなら使えるらしいということで、AとBは固定IPが必要でしょう。フォワーディングでどのDHCPを使うかで解決できると思います。DHCPサーバーを自前で持てばいいとおもいます。なお、多分、プロバイダのDHCPを流用するとPPTP以外は駄目とかになりそうで、各プロバイダで確認が必要と想像します。 以上、自分では、やっていないので。。。 固定IPを使わずに繋ぐ方法として、フレッツ接続があります。与えられた電話番号を固定IPの代わりにして名前解決する方法です。つまり、フレッツのサーバーに名前解決をフォワーダーするのだと思います。 これも、未経験です。DICEのみで構成することは、3点では無理だと思います。 ヤマハの紹介が多いですが、光プレミアムとかIPV6網のことを考えると、旧来の機種との整合性を考えたヤマハは返って、暗号化したときのスループットが心配です。きっぱり、今の時代の製品で、構築した方が、素人には、GUIも含めわかりやすく、簡単です。そういう意味で、自分は、2社を推薦しました。 何も解かっていないのですが、なんとなくそんな気がします。ネットボランチは、ちょっと経験者向きかな?って思うのです。(歴史がそうしているのでしょうね)
補足
お返事ありがとうございます。 少しずつ勉強していますが、要するに私は、 複数のLANをスター型VPNでつなぎたいということに成るとおもいます。 私の言うB-C間が同一LANのようになるというのは、 中心拠点Aに対して、拠点B、拠点Cをぶら下げ、各IPアドレスを A:192.168.1.1-254 B:192.168.2.1-254 C:192.168.3.1-254 などと設定した場合に 192.168.2.1の端末から192.168.3.1の端末がアクセスできるのか? ということになると思います。 中心拠点にはDNSサーバ、DHCPサーバがあります。 ドメイン、IPなどの環境はANo.7 neumannさんへの御礼に 書いてあるとおりです。 この環境は絶対に変えないというわけではないので、 できることと必要な環境とコストのトレードオフに成るとおもいます。 追加の質問ですが、DICEとはなんでしょうか? 検索してもDDNSのDiCEしか見つかりませんがそのことで よかったですか?
- qaaq
- ベストアンサー率36% (146/404)
必要な機器(=機能)は、資金に依存するでしょう。 ヤマハのネットボランチあたりで出来た気がします。 ユーザMLにもメーカエンジニアや、ネットワークエンジニアが 出てきたりしていて、サポート面では安心だと思いますよ。
お礼
お返事ありがとうございます コストと機能がトレードオフなのはしかたないとしても、 YAMAHAがいいというのはよく耳にしますが、幾分コスト高ですねぇ。 売上げがあってペイオフできる業務用ネットワークなら まよわず、RTXシリーズにするところですが。
- neumann
- ベストアンサー率39% (900/2303)
>基本的にメジャーなIPSecでいこうと思っていますが、 >PPTPとのメリットデメリットがいまいち把握できていません IPSecのほうがセキュリティが高いということです。 PPTPはセキュリティ機能(暗号化)はありません。 暗号化しないといけないような内容でなければどちらでも構いません。 >3.その他のLAN内のVPN端末(WindowsXP,Linux) これはどの拠点のLAN端末ですか? またこの端末にはIPSecクライアントソフトがインストールされているのですか? >◆各拠点ルー他の必須機能 考えている内容で問題ないかと思います。 ・中心拠点はVPNサーバ機能 ・末端拠点はVPNクライアント機能 が必要となります。 ルータに上記の機能があればパソコンにVPNソフトをインストールする必要はありません。 またVPNパススルー機能はそのルータ配下にVPNサーバやVPNクライアントがある場合に必要になる機能です。 >◆他社ルータを選択できるか? 基本的には同じメーカーのルータを使用するべきです。(機種は違っても良いですが、メーカーくらいはそろえたほうが確実です) IPSecと言ってもメーカーによって若干のクセがあったりして接続できる保障はありません。 >◆お勧めのルータ 皆様のお勧めの安価なルータを教えていただけますか? 比較的安くて信頼性の高いメーカーとしては、ヤマハやアライドテレシスなどがあります。 企業で多く使われているので信頼できます。 アライドテレシス「AR260S」 http://www.allied-telesis.co.jp/products/list/router/ar260s/catalog.html PPTPでも構わないならこちらもお勧めです。 ヤマハ「RT57i」 http://netvolante.jp/products/rt57i/index.html
補足
>>3.その他のLAN内のVPN端末(WindowsXP,Linux) >これはどの拠点のLAN端末ですか? >またこの端末にはIPSecクライアントソフトがインストールされているのですか? LANごと接続するのではなく、任意のインターネットに接続されているLANで WinXPのVPNクライアント機能、またはLinuxのVPNクライアントソフトを 使用して、LANごと接続するのではなく端末単体で接続するという目的です。
オムロンとかセンチュリーとかVPNルーターメーカーに尋ねたらどうでしょうか? 私もよく解かっていませんが。。。
お礼
お返事ありがとうございます
補足
とてもわかりやすいお返事ありがとうございます。 > IPsec はサポートするVPN 機器が多いのが特徴です。 > ただし、Windows OS でVPN する際には、PPTP の方が親和性は高いです。 なるほど! それで家庭用ルータでVPN機能搭載のものにはPPTP対応のみが多いのでしょうか?BUFFALO「WZR-RS-G54HP」とかYAMAHA「RT57i」とかはPPTPのみですよね。 では、私の場合、 中心拠点をAとし、VPNサーバ機能を持つルータを設置し、 拠点B、拠点CをVPNクライアント機能を持つルータで中心拠点Aに接続 という形になりますよね。 その場合は、拠点B-拠点C間もVPNを介したLAN内のような 振る舞いをするのでしょうか? (わかりにくいですがA-B間、A-C間と独立した状況にはならないですか? という意味です。) 参考URLありがとうございます。勉強します。